O problema que não sabia que tinha
Se a sua empresa envia faturas, encomendas, guias de remessa ou qualquer documento com dados de clientes através de uma aplicação de mensagens convencional, esses dados passam por servidores que provavelmente não estão na Europa. Ou se estão, pertencem a uma empresa sujeita a legislação estrangeira. O RGPD tem algo a dizer sobre isso.
A regulamentação europeia de proteção de dados exige saber onde estão os seus dados, quem tem acesso a eles e sob que jurisdição. Quando usa uma aplicação de mensagens com servidor central, os seus documentos passam por infraestrutura que não controla. Os dados dos seus clientes são armazenados — mesmo que temporariamente — em máquinas de outra empresa, noutro país, sob outras leis.
O que muda quando não há servidor
Numa comunicação P2P, os dados vão diretamente do dispositivo do remetente para o do destinatário. Não passam por nenhum servidor intermédio. Não são armazenados em nenhuma infraestrutura de terceiros. O documento sai do seu computador em Lugo e chega ao computador do seu cliente em Barcelona. Ou Berlim. Ou Lisboa. Mas nunca passa por Silicon Valley.
Isto não é um detalhe técnico menor. Aqui, a conformidade com o RGPD não acontece por esforço e boa vontade. Acontece porque a arquitetura torna impossível violar. Não há transferência internacional de dados porque não há transferência para terceiros. Os dados estão no seu dispositivo e no da sua contraparte. Em mais lado nenhum.
A quem isto importa
Se é advogado e envia um contrato a um cliente por mensagem, os dados desse contrato passam por um servidor. Se é consultor fiscal e partilha uma declaração de impostos, esses dados passam por um servidor. Se é médico e envia um relatório a um paciente, os dados de saúde passam por um servidor. Em todos esses casos, está a delegar a custódia de informação confidencial a uma empresa que não escolheu e não controla.
Não é que esteja a fazer algo errado de propósito. É que a ferramenta que usa não lhe dá outra opção. A única forma de os seus dados profissionais não passarem por servidores de terceiros é a comunicação ser direta. Sem intermediários. Do seu ecrã para o deles.
Conformidade automática
Com comunicação P2P, não precisa de auditar onde estão os servidores do seu fornecedor de mensagens. Não precisa de verificar a conformidade com o Privacy Shield ou com as cláusulas contratuais-tipo da UE. Não precisa de adicionar uma cláusula à sua política de privacidade a explicar que os seus dados 'podem ser tratados fora do Espaço Económico Europeu'. Nada disso se aplica, porque nenhum terceiro está a tratar os seus dados.
A conformidade não depende da boa vontade de ninguém. Não depende de um contrato de tratamento de dados com um fornecedor. Não depende de uma empresa americana manter o seu compromisso com a legislação europeia. Depende da arquitetura. E a arquitetura é verificável, imutável e não muda de ideias.
A pergunta para a sua próxima auditoria
Da próxima vez que alguém lhe perguntar onde estão os dados dos seus clientes, a melhor resposta possível é: 'No meu dispositivo e no deles. Em mais lado nenhum.' Não é preciso um relatório de cem páginas. Não é preciso um DPO a rever contratos de fornecedores. A privacidade dos dados dos seus clientes é garantida por design, não por promessas.